Международная операция правоохранительных органов привела к уничтожению инфраструктуры вредоносной программы Danabot, которая годами использовалась для кражи конфиденциальных данных. В ходе операции под кодовым названием Endgame ФБР и Министерство обороны США при поддержке Europol и других международных организаций нанесли сокрушительный удар по киберпреступной сети. ESET, участвовавшая в расследовании с 2018 года, раскрывает детали работы этого сложного зловреда.
Описание
Danabot представлял собой модульный банковский троянец, распространявшийся по модели Malware-as-a-Service. С 2018 года он активно использовался в атаках по всему миру, особенно в Польше и Австралии. Его функционал выходил далеко за рамки простого сбора данных - зловред применялся для распространения ransomware, организации DDoS-атак и даже удаленного управления системами жертв.
Создатели Danabot построили целый бизнес на аренде своего вредоносного ПО. Через даркнет-форумы они предлагали киберпреступникам комплексные решения, включающие админ-панель для управления ботами, генераторы сборок и систему прокси-серверов для скрытия трафика. Стоимость таких "услуг" достигала 1000 долларов в месяц.
Для распространения зловреда преступники использовали изощренные методы. Помимо традиционных фишинговых писем, они активно эксплуатировали Google Ads, создавая поддельные страницы популярного софта вроде Advanced IP Scanner. Особую опасность представляли фейковые сервисы поиска "невостребованных денег", которые на деле устанавливали вредонос.
Техническая реализация Danabot впечатляла своей продуманностью. Троянец использовал собственный протокол связи с двойным шифрованием, сложную модульную архитектуру и систему антианализа. Гибкая система команд позволяла злоумышленникам адаптировать функционал под конкретные задачи - от кейлоггинга до веб-инжектов.
Уничтожение Danabot стало важной вехой в борьбе с киберпреступностью, однако эксперты предупреждают - подобные группировки часто восстанавливаются под новыми именами. Для защиты специалисты рекомендуют проявлять особую бдительность при работе с почтой и онлайн-рекламой, тщательно проверять домены перед загрузкой файлов и использовать современные системы защиты.
Индикаторы компрометации
IPv4
- 212.18.104.245
- 212.18.104.246
- 34.16.215.110
- 34.168.100.35
- 34.65.116.208
Domains
- advanced-ip-scanned.com
- gfind.org
- mic-tests.com
SHA1
- 17b78ad12b1ae1c037c5d39dbe7aa0e7de4ec809
- 6d361cd9adbf1630af7b323584168e0cbd9315fb
- 787eab54714f76099ec350e029154adfd5edf079
- a7475753cb865aec8dc4a6cea27f2aa594ee25e8